Nginx auth_request详解

于 2025-02-20 22:58:29 发布
阅读量982 收藏 10
点赞数 8
分类专栏: 面试 学习路线 阿里巴巴 文章标签: nginx xcode 运维
本文链接:https://blog.csdn.net/Bejpse/article/details/145765647
版权

网上看到多篇先关文章,觉得很不错,这里合并记录一下,仅供学习参考。

模块

nginx-auth-request-module

该模块是nginx一个安装模块,使用配置都比较简单,只要作用是实现权限控制拦截作用。默认高版本nginx(比如1.12)已经默认安装该模块,下面介绍下使用该模块实现多个站点之间的统一权限控制。

例子1

这里用一个例子来说明下,如下例子是包含site1(对应web1)、site2(对应web2)、auth(20.131:7001)在内的三个应用项目,auth项目主要做权限拦截,比如jwt校验等,site1、site2分别为两个受保护的资源站点,只有auth授权通过后才能访问该站点。

实现上述要求nginx配置详情如下(nginx地址为20.198):

upstream web1 {
    server 192.168.20.131:3000;
}

upstream web2 {
    server 192.168.20.131:3001;
}
server {
    listen       80;
    server_name  localhost;

    #charset koi8-r;
    #access_log  /var/log/nginx/host.access.log  main;

    location / {
        root   /usr/share/nginx/html;
        index  index.html index.htm;
    }

    location /api/web1 {

        auth_request /auth;
        error_page 401 = @error401;

        auth_request_set $user $upstream_http_x_forwarded_user;
        proxy_set_header X-Forwarded-User $user;
        proxy_pass http://web1;
    }

    location /api/web2 {
        auth_request /auth;
        error_page 401 = @error401;

        auth_request_set $user $upstream_http_x_forwarded_user;
        proxy_set_header X-Forwarded-User $user;
        proxy_pass http://web2;
    }

    location /auth {
        internal;
        proxy_set_header Host $host;
        proxy_pass_request_body off;
        proxy_set_header Content-Length "";
        proxy_pass http://192.168.20.131:7001/auth;
    }

    
    location @error401 {
        add_header Set-Cookie "NSREDIRECT=$scheme://$http_host$request_uri;Path=/";
        return 302 http://192.168.20.131:7001/login;
    }

    #error_page  404              /404.html;

    # redirect server error pages to the static page /50x.html
    #
    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   /usr/share/nginx/html;
    }
}

配置好之后,要明白一点,那就是_nginx-auth-request-module_模块基本使用原理就是:

1、auth_request对应的路由返回401 or 403时,会拦截请求直接nginx返回前台401 or 403信息;

2、auth_request对应的路由返回2xx状态码时,不会拦截请求,而是构建一个subrequest请求再去请求真实受保护资源的接口;

所以,基于此,auth模块只需要校验然后返回相应的状态码即可实现权限拦截操作,简单测试如下:

auth代码:

// 授权认证接口
  async auth() {
    console.log(Date.now());
    this.ctx.status = 200;
  }

  // 失败后的登录页面
  async login() {
    console.log('失败了........');
    this.ctx.body = {
      msg: '授权失败',
      code: 10001
    }
  }

这里的auth授权接口我们直接返回200,login是上述auth项目下配置的路由,用于授权失败后302至登录页面用的。

site1和site2代码相同,只罗列一个如下:

/* /api/web1/users,如果是web2则为/api/web2/users */
router.all('/', function(req, res, next) {
  res.send('respond with a resource from web1');
});

这里只是简单渲染输出一个字符串而已,测试如下:

浏览器访问:http://192.168.20.198/api/web1/users,输出

改变auth接口如下:

// 授权认证接口
  async auth() {
    console.log(Date.now());
    this.ctx.status = 401;
  }

  // 失败后的登录页面
  async login() {
    console.log('失败了........');
    this.ctx.body = {
      msg: '授权失败',
      code: 10001
    }
  }

这里将状态码改为了401,再次访问:http://192.168.20.198/api/web1/users,输出

这里可以看到,浏览器直接进行了302跳转,因为鉴权失败,直接重定向到登录页面了。

以上就是关于_nginx-auth-request-module_模块的基本操作及配置,多个项目下部署统一的权限接口时还是相当有用的。

例子2

首先,确保Nginx已经安装并启用了auth_request模块。然后,编辑Nginx配置文件(通常是nginx.conf或某个虚拟主机配置文件)。

通过–with-http_auth_request_module添加auth_request模块

http {
# 定义认证服务的逻辑
server {
listen 127.0.0.1:8080;
location /auth {
# 此处为简单示例,实际应用中应调用外部认证服务
if ($http_authorization = “Basic dXNlcm5hbWU6cGFzc3dvcmQ=”) { # 假设认证使用Basic Auth
return 200;
}
return 401;
}
}

server {
listen 80;
server_name example.com;

location / {
# 使用 auth_request 调用认证服务
auth_request /auth;

# 处理认证服务的响应结果
error_page 401 = @error401;
error_page 403 = @error403;

# 正常处理请求
proxy_pass http://backend;
}

# 定义认证失败时的处理逻辑
location @error401 {
return 401 “Unauthorized”;
}

location @error403 {
return 403 “Forbidden”;
}

# 认证服务的代理设置
location /auth {
proxy_pass http://127.0.0.1:8080/auth;
proxy_pass_request_body off; # 不代理请求体到认证服务
proxy_set_header Content-Length “”;
proxy_set_header X-Original-URI $request_uri;
}
}
}

配置说明

定义认证服务:

server {
listen 127.0.0.1:8080;
location /auth {
if ($http_authorization = “Basic dXNlcm5hbWU6cGFzc3dvcmQ=”) {
return 200;
}
return 401;
}
}

这个server块模拟了一个简单的认证服务,它监听127.0.0.1:8080,根据请求头Authorization判断用户是否经过认证。在实际应用中,这个应该是一个调用外部服务的代理配置。

主站点配置:

server {
listen 80;
server_name example.com;

location / {
auth_request /auth;
error_page 401 = @error401;
error_page 403 = @error403;
proxy_pass http://backend;
}

location @error401 {
return 401 “Unauthorized”;
}

location @error403 {
return 403 “Forbidden”;
}

location /auth {
proxy_pass http://127.0.0.1:8080/auth;
proxy_pass_request_body off;
proxy_set_header Content-Length “”;
proxy_set_header X-Original-URI $request_uri;
}
}

  • auth_request /auth;:该指令告诉Nginx,在处理用户请求前,先将请求发送到/auth进行认证。
  • error_page 401 = @error401;和error_page 403 = @error403;:定义认证失败时的处理逻辑,将401或403错误重定向到相应的处理块。
  • proxy_pass http://backend;:成功认证后,将请求代理到后端服务器。
认证失败处理:

location @error401 {
return 401 “Unauthorized”;
}

location @error403 {
return 403 “Forbidden”;
}

认证失败时,根据实际情况返回401或403状态码,并附带相应的错误信息。

测试与验证

启动Nginx,尝试访问http://example.com,并使用不同的Authorization头部测试认证行为。如果头部包含正确的用户名和密码(在本例中为"Basic dXNlcm5hbWU6cGFzc3dvcmQ="),请求应被允许访问后端资源,否则返回相应的错误状态码。

例子3

upstream web1 {
server 192.168.20.131:3000;
}

upstream web2 {
server 192.168.20.131:3001;
}

location ^~ /session/ {

charset utf-8;
auth_request /session-backend-info/;
auth_request_set $backend $upstream_http_backend;

proxy_set_header Forwarded $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Port $remote_port;
proxy_set_header Host $http_host;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $connection_upgrade;
proxy_pass b a c k e n d / backend/ backend/request_uri;

}

$backend为web1、web2upstream

Nginx学习】深入Nginx邮件代理模块:邮件认证与ngx_mail_auth_http_ctx_t结构体
java专栏
12-01 1040
Nginx的邮件代理模块(Mail Proxy Module)允许Nginx作为邮件代理服务器,支持SMTP、POP3和IMAP协议。这使得Nginx可以作为一个高性能的邮件网关,用于过滤垃圾邮件、病毒扫描、负载均衡等任务。简单来说,Nginx在这里就像是一个邮递员,负责将邮件从发件人手中安全、快速地送到收件人手中。通过上述的解析,我们可以看到Nginx在邮件代理模块中的设计和实现。
Nginx学习】3步轻松掌握Nginx访问第三方服务:创建回调方法create_request详解执行场景与实战技巧
最新发布
java专栏
11-02 865
upstream是Nginx中的一个模块,用于定义一组服务器,这些服务器可以是后端应用服务器、数据库服务器或其他任何服务。通过upstream,Nginx可以将请求分发到这些服务器,实现负载均衡和高可用性。在Nginx配置文件中定义一个upstream块,列出所有需要访问的后端服务器。代码注释:定义一个名为的upstream。:定义一个后端服务器。首先,定义一个upstream块,包含多个后端服务。# 设置超时时间# 设置重试次数# 使用最少连接策略least_conn;
Nginx请求参数解析,auth_request img图片鉴权应用
nalanxiaoxiao2011的博客
10-11 3678
vue中给img的src添加token
Nginxauth_request 模块详解与应用指南
你知道莽村的莽怎么来的吗!
05-25 3225
对于Web开发者来说,Nginx是一个强大且灵活的Web服务器和反向代理服务器。其模块化设计让我们可以根据需求定制Nginx的功能。在安全性和访问控制方面,Nginxauth_request模块是一个非常有用的工具。本文将详细介绍auth_request模块的用途、使用场景,并通过示例代码来说明其具体应用。auth_request 模块是Nginx的一个官方模块,用于在处理客户端请求时,将这些请求传递给一个外部的认证服务进行认证。
07_Nginx_auth_request模块
田一一
03-16 8284
07_Nginx_auth_request模块1. auth_request模块是什么2. auth_request模块的用途3. auth_request的启用4. auth_request的官方示例 1. auth_request模块是什么 ngx_http_auth_request_module模块(1.5.4+)实现了基于一子请求的结果的客户端的授权。如果子请求返回2xx响应码,则允许访问。如果它返回401或403,则访问被拒绝并显示相应的错误代码。子请求返回的任何其他响应代码都被认为是错误的。 a
Nginxauth_request的使用,JWT结合cookie实现多系统统一认证,多系统身份统一认证,潘多拉部署解决
weixin_45885574的博客
06-12 1790
Nginxauth_request的使用,JWT结合cookie实现多系统统一认证,多系统身份统一认证,潘多拉部署解决
使用nginxauth_request模块完成静态文件的跨域
qq_35590424的博客
05-30 543
Nginx静态文件跨域
nginx-auth:一个简单的身份验证应用程序,供nginx auth_request机制使用
05-09
Nginx验证 nginx-auth是一个简单的基于表单的身份验证服务器,旨在与nginxauth_request插件一起使用。 它允许您使用基于表单的身份验证代替基本身份验证来验证用户。 部署范例 location /private/ { auth_request /auth-check; # redirect 401 and 403 to login form error_page 401 403 =200 /nginx-auth/; } location /nginx-auth/ { proxy_pass http://localhost:3000/; proxy_redirect http://localhost:3000/ /; # Login service returns a redirect to the original
docker-nginx-auth-request-django-shiny-example:使用Docker,带有auth-request模块的Nginx和Django充当Shiny应用程序周围的身份验证包装的示例
05-01
带有NginX + Auth-Request模块代理到Shiny应用程序的Auth-acting Django服务器的Docker示例 这是通过反向代理和模块为充当应用程序的身份验证和授权服务器的应用程序的设置。 我们使用作为反向代理。 我们使用模块为定向到Shiny的每个请求添加一个授权步骤。 最初的应用程序主页被包装到页面中,因此我们可以在之上构建一个具有用户和访问权限管理的界面。 为了方便起见,提供了一个 。 您可能需要使用sudo make而不是仅仅使用make因为docker和docker-compose命令通常需要管理员权限。 要求 您需要安装和 。 建造 sudo make all 。 跑步 sudo make up 。 帮助 make或make help 。 相关博客文章 Django应用程序作为Shiny的身份验证/授权服务器 执照 根据ISC许可许可的软
Nginx http_auth_request_module 统一用户验证权限验证
小楼一夜听春雨,深巷明朝卖杏花
04-28 7959
auth_request|access|auth_basic比较 无论是通过access模块限制IP还是通过auth_basic模块限制用户名密码,这些都是非常简单的用户验证方式。 在生产环境当中很可能会有动态web服务器,它们通过更加复杂的用户名密码权限验证。这个时候可以通过访问nginx资源时候,先将用户的去请求传递给这样的应用服务器,根据应用服务器返回的结果再判断请求资源能不能继续执行。...
Nginx使用auth_request_module模块实现对js资源的拦截(可传变量请求参数)
gpdsjqws的博客
04-16 1614
业务场景: 静态资源服务器有一部分js不允许直接http://host:port/xxxx.js访问,需要进行一层后端验证,期望是http://host:port/xxxx.js/key访问原来的静态资源服务器,这个key可以被后端验证, 如果验证成功,则成功访问资源,如果验证失败,就返回 403. 解决方案: 使用nginx对资源做一层拦截,不带验证参数key访问的时候,或者携带验证参数但是验证失败的时候,返回403,验证通过则...
nginx:使用第三方做权限控制的auth_request模块
error311的博客
06-20 2895
auth_request模块 原理: 收到请求后生成子请求,通过反向代理技术把请求传递给上游服务 功能: 向上游的服务转发请求,若上游服务返回的状态码是2xx,则继续执行,若上游服务返回的是401或403,则将响应返回给客户端。 默认不编辑进nginx模块 --with-http_auth_request_module 1.auth_request uri | off 默认:auth_request off; 放置位置:http,server,location 2.aut...
Nginx 静态资源或者路径鉴权 http_auth_request_module 统一用户验证权限验证
guozai0904的博客
09-23 2246
Nginx 静态资源或者路径鉴权 http_auth_request_module 统一用户验证权限验证
Nginx: 配置项之access模块、auth_basic模块、auth_request模块
Wang的专栏
08-23 1398
curl curl http://192.168.184.20:8080/auth.html -I 返回。curl http://192.168.184.20:8080/auth.html 返回结果如下。3 )生成密码文件工具。
Nginx + Flask搭建LDAP认证--nginx-auth-request-module 的使用
oBenMa的博客
11-26 3061
Nginx + Flask搭建LDAP认证--nginx-auth-request-module 的使用需求由来参考Nginxauth_request 模块nginx安装/etc/nginx/conf.d/auth.conf 需求由来 kibana,Elasticsearch 等业务需要对外服务的时候,头痛了把。传统方法 使用basic认真。用户管理起来麻烦。 公司内部有多个业务开发部门,为...
通过Nginxauth_request以及ExpressJS构建权限验证系统
weixin_33841503的博客
07-11 450
本文的内容是我的开源代码(https://github.com/e10101/AdminLogin)的中文说明。项目主要是实现了通过合理配置Nginxauth_request模块来实现对敏感路径下的内容进行访问限制。 代码 可通过Github访问:https://github.com/e10101/AdminLogin,来获取代码。如果...
Nginx服务器安装详解与优化
Nginx还支持各种模块,用户可以按需加载不同的模块来扩展Nginx的功能,例如使用auth_request模块进行请求授权、使用concat模块合并文件、使用geo模块根据客户端IP地址进行路由等。 总而言之,Nginx作为一个功能强大...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值